Захист сеансів Dataverse із зв’язуванням файлів cookie на основі IP-адрес

Запобігання загрозам захоплення сеансу Dataverse за допомогою зв’язування файлів cookie на основі IP-адрес. Припустимо, що зловмисник копіює дійсний файл cookie сеансу з авторизованого комп’ютера із підтримкою зв’язування IP-адреси файлів cookie. Потім користувач намагається використати файл cookie на іншому комп’ютері, щоб отримати неавторизований доступ до Dataverse. У режимі реального часу Dataverse порівнює IP-адресу джерела файлу cookie з IP-адресою комп’ютера, який надсилає запит. Якщо ці два способи відрізняються, спроба блокується, і відображається повідомлення про помилку.

Прив’язка файлів cookie на основі IP доступна лише для керованих середовищ для всіх клієнтів, включаючи урядові хмари. Ви можете ввімкнути цю функцію в Power Platform центрі адміністрування.

Увімкніть зв’язування файлів cookie на основі IP-адрес

1. Увійдіть до Power Platform центру адміністрування як адміністратор.

2. Виберіть елемент Середовища, а потім виберіть середовище.

3. Виберіть пункт Параметри>Продукт>Конфіденційність + Безпека.

4. У розділі Налаштування IP-адреси виберіть опцію Увімкнути прив’язку файлів cookie на основі IP-адреси.

5. (Необов’язково): якщо у вашій організації налаштовано зворотні проксі-сервери, введіть IP-адреси, розділені комами, у полі Зворотні IP-адреси проксі-сервера . Зворотне налаштування проксі застосовується як до прив’язки файлів cookie на основі IP, так і до брандмауера IP. зверніться до адміністратора мережі, щоб отримати IP-адреси зворотного проксі-сервера.

   Нотатка

   Зворотний проксі має бути налаштований на надсилання IP-адрес клієнтів користувача в пересланому заголовку.

6. Виберіть Зберегти.

Як прив’язка файлів cookie використовує вашу IP-адресу для роботи

Прив’язування файлів cookie на основі IP-адрес встановлює твердження IP-адрес у файлі cookie сеансу. Кожен запит оцінюється, щоб порівняти поточну IP-адресу з вихідною IP-адресою, яка була збережена у файлі cookie під час створення. Якщо адреси не збігаються, користувачу було відхилено у доступі.

Сценарії, у яких користувачам пропонується пройти повторну автентифікацію

• Якщо будь-який клієнт VPN увімкнено або вимкнуто
• Під час підключення до точки доступу
• Після скидання підключення до інтернету постачальником послуг інтернету
• Після скидання або перезапуску маршрутизатора

Як тестувати функцію

1. Очистіть всі файли cookie з браузера. Цей крок важливий для того, щоб забезпечити створення нового файлу cookie.

2. Увійдіть до середовища Dynamics 365, де увімкнено зв’язування для IP-адрес.

3. Скопіюйте клієнтський засіб, наприклад, Fiddler, щоб скопіювати файл cookie сеансу.

4. Надішліть запит з альтернативного комп’ютера (за межами вихідної мережі), використовуючи раніше отриманий сеансовий файл cookie. Ви повинні очікувати повідомлення про помилку HTTP 403 у відповіді.

Винятки

• Якщо користувач підключається з Dataverse тієї ж IP-адреси зі старим, дійсним файлом cookie, Dataverse приймає файл cookie.
• Якщо трафік між вашою мережею та Power Platform налаштований на використання зворотного проксі з динамічною IP-адресою, прив’язка файлів cookie на основі IP не працюватиме.

Поширені запитання

Чи доступна ця функція у Dataverse?

Прив’язка IP-адреси файлів cookie доступна для файлу CrmOwinAuth cookie в єдиному інтерфейсі.

Як незабаром зміни наберуть сили після внесення в центрі адміністрування Power Platform?

Зміни зазвичай набирають чинності приблизно через п’ять хвилин.

Чи працює ця функція в режимі реального часу?

Ця функція оцінює файл cookie в режимі реального часу, за винятком початкового запиту, виконаного після ввімкнення функції.

Чи ввімкнуто цю функцію за замовчуванням у всіх середовищах?

За замовчуванням функцію зв'язування IP-адрес файлів cookie вимкнено. Адміністратори мають ввімкнути її у центрі адміністрування Power Platform.